Win32/Filecoder [Threat Name] go to Threat

Win32/Filecoder.AU [Threat Variant Name]

Category trojan
Size 24064 B
Detection created Apr 25, 2013
Detection database version 10238
Aliases Trojan.Encoder.210 (Dr.Web)
Short description

Win32/Filecoder.AU is a trojan that encrypts files on local drives. To decrypt files the user is requested to comply with given conditions in exchange for a password/instructions.

Installation

The trojan does not create any copies of itself.


Payload information

Win32/Filecoder.AU is a trojan that encrypts files on local drives.


The trojan searches for files on the following drives:

  • A:\­
  • B:\­
  • C:\­
  • D:\­
  • E:\­
  • F:\­
  • G:\­
  • H:\­
  • I:\­
  • J:\­
  • K:\­
  • L:\­
  • M:\­
  • N:\­
  • O:\­
  • P:\­
  • Q:\­
  • R:\­
  • S:\­
  • T:\­
  • U:\­
  • V:\­
  • W:\­
  • X:\­
  • Y:\­
  • Z:\­

The trojan searches for files with the following file extensions:

  • .1cd
  • .3gp
  • .7z
  • .ac3
  • .ape
  • .arj
  • .avi
  • .bak
  • .bkf
  • .bkp
  • .blf
  • .blockage
  • .bmp
  • .box
  • .bpn
  • .cdr
  • .cdx
  • .cer
  • .cf
  • .cfu
  • .dbf
  • .dd
  • .divx
  • .djvu
  • .doc
  • .docx
  • .dt
  • .dwg
  • .ebf
  • .efd
  • .eif
  • .elf
  • .epf
  • .eps
  • .erf
  • .ert
  • .fbk
  • .fdb
  • .flac
  • .flv
  • .frw
  • .gbk
  • .gdb
  • .gho
  • .ghost
  • .gif
  • .gz
  • .gzip
  • .hbk
  • .hdf
  • .htm
  • .html
  • .ib
  • .idf
  • .ifo
  • .indd
  • .iso
  • .jpeg
  • .jpg
  • .kwm
  • .ldf
  • .ldw
  • .lgf
  • .lgp
  • .lnk
  • .lst
  • .m2v
  • .max
  • .md
  • .mdb
  • .mdf
  • .mkv
  • .mov
  • .mp3
  • .mp4
  • .mpeg
  • .mpg
  • .mxl
  • .nbr
  • .nrg
  • .ods
  • .odt
  • .p12
  • .panzer
  • .pas
  • .pdf
  • .pfl
  • .pfx
  • .pgp
  • .plan
  • .pln
  • .png
  • .ppd
  • .ppt
  • .pptx
  • .psd
  • .pst
  • .pwm
  • .rar
  • .rcf
  • .res
  • .rst
  • .rtf
  • .sel
  • .sql
  • .tab
  • .tar
  • .tgz
  • .tib
  • .torrent
  • .txt
  • .vob
  • .war
  • .wav
  • .wma
  • .wmv
  • .xls
  • .xlsx
  • .xml
  • .zip
  • .zrb

The trojan encrypts the file content.


The extension of the encrypted files is changed to:

  • .ZONE51

The following file is created in the same folders:

  • КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt

It contains the following text:

  • Внимание!
  • Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
  • Вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована.
  • Все зашифрованые файлы имеют расширение .ZONE51
  • Восстановить файлы можно только имея уникальный для вашего пк дешифратор.
  • Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не имея дешифратора.
  • Ни в коем случае не изменяйте файлы! И не используйте чужие дешифраторы, Вы можете потерять Ваши файлы навсегда.
  • Напишите нам письмо на адрес %removed%@tormail.org , чтобы узнать как получить дешифратор.
  • Если мы Вам не ответили в течении 3 часов - повторите пересылку письма.
  • Дополнительный почтовый ящик - %removed%@i2pmail.org
  • В письмо вставьте текст из файла 'КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt' или напишите номер - 005
  • В первом письме не прикрепляйте файлы для дешифровки. Все инструкции вы получите в ответном письме.

To decrypt files the user is requested to comply with given conditions in exchange for a password/instructions.


The trojan then removes itself from the computer.


The trojan may display the following dialog windows:

Please enable Javascript to ensure correct displaying of this content and refresh this page.